Reprise du message précédent :

ca va il t'as pas proposé du WEP

Le truc caché c'est votre nouvelle version du produit qui devient sans-fil ? "must be WPA" Désolé pour ta boîte mec

 
Car tu n'as pas les droits admin en local ? Yep c'est un bon admin, qui apprend au dev à respecter les normes et de ne pas travailler n'importe ou
 
 

Ah merde, et si le wifi est un portail captif  

@€dit: mais avec un clef wep

Voilavoila, c'est ça.

Et des comme ça, ils nous en font a la pelle.

Ils ont rendu le produit actuel compatible avec windows 7 en 2014..

 
Il y en a un qui a du nous maudire hier
 
Par mail:

 
 
 
Quand il s'est calmé j'ai fini par comprendre que Mr voulait installer sa version de test de son soft, pour donner l'accès en TSE sur son serveur de Prod à 2-3 users du projet ..
Donc finalement ça va finir sur le Citrix où il y a déjà tout ce qu'il faut, plus qu'a copier l'exe de test de son soft ...

soft de test sur la prod ?  

Grace à ces glands on ne manquera jamais de boulot    
 
XaT

ah tiens, y'avait aussi la fois où ils voulaient que j'ouvre le port 21 vers notre serveur de backup interne, parcequ'ils voulaient sauvegarder leur machin hebergé (future bdd/interface de prod pour le nouveau produit) vers un serveur interne et que le ftp est le seul truc supporté par leur hebergeur.

C'est bien le premier truc du tech/admin ça, calmer l'usager et poser les bonnes questions pour comprendre le besoin.
 
XaT

Ah au fait la russie tente de bloquer telegram en bloquant des ranges ip énormes
Du coup j'ai un dédié online (enfin une ip failover) et une vm scaleway plus accessible depuis la russie
C'est con
51.15.0.0/16 de mémoire
 
XaT

Yep pédagogie et patience, qualités indispensables de tech/admin.
 
Sans ça tu crames toute la boite

 
+1
Même au niveau projet, ça a du nous prendre facile 5 ans pour qu'on nous intègre dans les projet pour proposer des solutions, et pas juste en mode 'tiens, on veut que ça tourne comme ça, démerde toi"
 
 
 
On a que 2 emmerdeurs dans la boite, perso je bosse surtout avec les dev côté indus, j'ai pas à m'en plaindre (et ils sont tous admins de leur machines   )
Mais lui hier il m'a fait marrer  

venant d'un luser c'est compréhensible, mais ca arrive super souvent avec les tech/admin l1/l2 aussi

Qu'est ce que tu propose dans ces cas là ?  Tu cherche une alternative ?
Genre pour le wifi, borne standalone dédié au gars isolée du reste du lan avec ssid caché et filtrage mac ?
Ou tu es obligé de subir ?

Réponse D : il re-développe son soft pour supporter le WPA2. WPA3 arrive bientôt

Il va te répondre que c'est prévu mais qu'il dois bosser sur telle ou telle fonctionnalité d'abord.

Ya des pros de OpenVPN server ici ?

Bon je sais que OpenVPN est pas multithreadé, mais j'avais l'impression que quand j'utilisais l'imageHub de Scaleway, chaque connexion se lançait sur un thread différent, en effet une "connexion" en elle même ne peut pas être multithreadé mais c'était quand même moins pire.

Là j'ai fait une installe fresh depuis zéro, mais toutes les connexions se mettent sur le même thread et donc le CPU ram du cul avec un thread à 100% et quedal sur les autres.

Ya un tweak ou autre ?

 
Je fais au cas par cas selon les demandes absurdes.
 
Le point positif pour celle-là (et la plupart des autres en fait), c'est qu'on a un service IT-security dédié aux questions de sécurité, et eux ils lachent rien, ce sont les seuls qui ont un peu plus de pouvoir que les devs.  
Du coup quand les demandes à la con ont un impact sur la sécurité, je leur forwarde direct. Et pour le WPA ça a été en gros un "allez vous faire foutre, c'est pas sécure", donc ils vont devoir revoir leur copie.  
Pareil pour le FTP, on leur a présenté toutes nos solutions de backup corporate, aucune compatible avec leur merde, du coup ils ont été obligé de se payer un AWS propre.
D'ailleurs depuis l'histoire du FTP, la qualité et IT security les a mis sous monitoring. Ils ont désormais une réunion régulière avec eux pour verifier ce qu'ils balancent dans le "cloud", les contrats qu'ils passent pour l’hébergement etc. Je pense qu'ils y en a qui ont eu des grosses sueurs quand ils ont vu comment était géré le truc.

C'est top ca.
J'imagine un truc comme ça dédié aux pme.
 
Quand on a droit a un truc qui y ressemble c'est le genre de bonhomme qui ne te laisse pas mettre un rpi sur son reseau pour faire de la remonté d'info copieurs : 'parce que c'est une grave faille de sécurité monsieur, c'est un cheval de troie' alors qu'il a la solutions précédente qui était une install local qui tourne avec les droits admin sur une machine de son infra.
Mais celle la c'était un soft Windows, ça ne représente pas de danger...
 

 
oui, ipsec

Fais gaffe! Un modo peut cacher un dev...  
 
A+,

Doublement imparfait donc ?

Shadow qui demande un jeudredi

 
 
Nous c'est l'inverse, l'IT est à la ramasse, c'est abusé. Je suis Dev et je demande au service IT un serveur où je peux stocker des trucs pour qu'un de mes softs y accède en HTTPS (pour la sécurité et l'intégrité).
 
L'IT me propose un vieux serveur FTP moisi et me dit de mettre les credentials en dur dans mon soft pour y accéder... Bien évidemment les credentials à mettre sont les mêmes que ceux qu'ils me fournissent pour déposer les trucs dessus donc accès en écriture aussi.
 
Je les ai envoyé chier puissance 1000 et je me suis loué avec la CB du départmeent un kimsufi en ubuntu lts avec auto-update des majs de secu avec reboot. Je me dis que c'est quand même plus secure que leur merde.

+1, la faute lourde licenciement sans indemnités + depot de plainte possible pour fuite de données du SI

Y’a encore du travail à faire sur les bonnes pratiques de sécurité informatiques. Blaska, ya du taf !

Dans ma boite ça fait depuis toujours que la sécurité était disons gentiment très secondaire alors qu'avec quelques collègues on alertait régulièrement.
Puis soudain prise de conscience de la direction en 2018 : la sécurité devient prioritaire. Aucune idée de ce qui a déclenché cela car on avait malgré tout pas eu de pépin grave.
Concrètement pour moi ça s'est d'abord traduit par une augmentation de la sécurité au niveau des mots de passe, avec des mots de passe plus longs et plus complexes, éviter des trucs à la con genre login=mdp ou admin/password/1234 et passer aux niveaux de cryptage supérieurs.
Bien sûr j'avais averti les utilisateurs des semaines à l'avance, avec une explication détaillée du bouzin et bien expliqué à mes supérieurs l'impact que ça allait avoir.
Puis c'était même pas sur les plateformes de production, c'était juste sur 2 serveurs de dev pour commencer !
Malgré tout je vous raconte pas le foin que ça a fait ! Les devs qui râlent parce que leur logiciel ne fonctionne plus (forcément puisque le mdp a changé et qu'ils doivent juste changer leurs paramètres de connexion dans des fichiers de conf !) ou pire dans certains cas parce que leur vieil outil/logiciel ne supporte pas les nouveaux niveaux de cryptage des mdp.
Résultat de la prise de décisions de la hiérarchie : rollback ! on remet des vieux mdp tout pourris et les anciens niveaux de cryptage.    
Trop de retard dans les devs, ils ont pas le temps de s'occuper de ça, ce logiciel n'est plus maintenu mais il est indispensable...blabla
Et en parallèle de tout ça, on me demande de tester des middlewares en version cloud...avec des ports ouverts tout nus sur le net  

 
Ça c'est officiellement, officieusement c'est lapidation direct

C’est tellement sale putain  

 
Je vous ai fait la version courte, en version plus longue après leur proposition:
 
moi: Non c'est de la merde, c'est pas secure. Tout le monde a accès en écriture, récupérer les crédentials dans mon soft c'est un jeu d'enfant en décompilant. En plus FTP c'est pourri, ça ne garanti pas l'intégrité des données si quelqu'un fait un MITM. Je veux du HTTPS pour être sur que les données que mon soft reçoit, c'est pas de la merde.
 
eux: oh t'abuse, donc ok au lieu d'avoir des credentials unique avec accès R+W, on va créer un nouveau set de login/mdp avec seulement l'accès R et tu pourras intégrer ça dans ton soft. Ça te va ?
 
moi: non merci, c'est de la merde, je vais me débrouiller tout seul

 
Moi je suis au courant mais pas l'IT, c'était FTP de base et c'est tout.
 
Franchement j'aurais accepté toute solution un minimum sécurisée.
 
Et mon truc, c'est un soft distribué à l'extérieur donc en soit, n'importe qui peut le décompiler (c'est fait en C# donc super simple en plus).

Encore faut-il que son soft sache gérer les clés..

Oui client lourd.
 
Exemple simplifié:
 
Mon soft a besoin d'aller lire un fichier toto.txt hébergé à distance. Je veux que l'intégrité du fichier toto.txt soit ok (pas qu'un pirate MITM et donne un faux toto.txt à mon soft).
 
Le plus simple pour moi: mettre le fichier toto.txt sur un serveur et mon soft à juste à aller chercher https://server/toto.txt
 
Rien de plus, rien de moi. Et toto.txt n'est pas secret donc pas besoin de le protéger en lecture d'une quelconque façon.
 
Et ils m'ont proposé la super solution FTP avec credential à mettre en dur dans le soft.

C'est le genre de besoin qui s'anticipe, quand tu définis ce que ton application va devoir faire, tu sais que tu vas avoir besoin de quelque chose de sécurisé, donc dans le cadre du projet de l'appli, l'IT doit te mettre à dispo quelque chose de sécurisé.
Si c'est une demande à l'arrache, ça passe pas, forcément.